Fundamentos de segurança da informação

[pic 2]

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO

Fichamento de Estudo de Caso

Trabalho da disciplina de Governança de Segurança da Informação

                              Tutor: Prof.ª Maria Benedicta Graziella Guimaraes

2019

ESTUDO DE CASO:          

                                                           Governança de Segurança da Informação

                                               Intel Corp. – Bring your own Device

REFERÊNCIA: CHANDRASEKHAR. R. INTEL CORP. \u2013 Bring Your Own Device. Ontário. Londres, 2013.

O presente estudo de caso trata diretamente de Malcolm Harkins, diretor executivo de segurança da informação da Empresa Intel Corp, que em janeiro de 2010 estava enfrentando muitas dificuldades para levar em frente a iniciativa BYOD(traga seu próprio dispositivo). A equipe de tecnologia da informação da empresa estava monitorando essa iniciativa há quase um ano. Após a alta gestão tomar a decisão da implementação do BYOD, Harkins tornou-se o responsável pela implementação dessa iniciativa pela empresa.

Harkins previu que no ano de 2014 70% dos funcionários da empresa Intel estariam usando seus dispositivos em alguma área de seu trabalho, tal previsão se dava pelo fato de que 10.000 dos 80.000 funcionários da empresa já levavam seus próprios dispositivos moveis para o trabalho no ano de 2010 e que no passar dos anos a tendência seria aumentar ainda mais o numero de funcionários levando seu próprio dispositivo para empresa.

No ano de 2009 Harkins notou que havia uma tendência dos funcionários da Intel em trazer seus próprios tablets e dispositivos de armazenamento para o trabalho, usando os mesmos durante seus expedientes de trabalho. Nesse período o crescimento do uso de smartphones era notório.  Porém, com aumento do uso de dispositivos moveis no trabalho também houve um aumento de preocupação para a equipe de TI no que diz respeito a segurança da informação da empresa, pois seria muito difícil distinguir os dados corporativos dos dados pessoais dos funcionários, com isso sobrecarregaria a equipe de TI com o suporte e resolução de problemas de dispositivos não gerenciáveis. Outra preocupação também era pelo fato de que os funcionários seriam distraídos por varias aplicações contidos em seus dispositivos afetando assim a produtividade dos mesmos.

Harkins não estava preocupado apenas com as questões de TI e SI, que eram suas áreas de domínio, mas também financeiro, legal, desenvolvimento de recursos humanos e o valor de marca da empresa, que não eram sua área de domínio. Funcionários da empresa investiram pessoalmente em notebooks, notebooks e dispositivos moveis, reduzindo assim os custos da Intel em relação a aquisição de dispositivos, mas aumentou os custos de avaliação, configuração e suporte dos dispositivos.  A empresa Intel necessitava acessar e controlar todas as informações da mesma, porém fazer isso nos dispositivos pessoais dos funcionários sem violar sua privacidade seria uma tarefa muito complexa.

Para a empresa Intel havia três opções em relação o BYOD, não fazer nada, na esperança de ser apenas uma moda que passaria e que logo os funcionários esqueceriam, também teriam a opção de negar  para todos os funcionários o uso de seus dispositivos moveis pessoais, com isso correria o risco de ficar para trás nas tendências existente  perdendo assim parte dos seus funcionários ou se submeter a terceira e ultima opção que seria apoiar o BYOD dentro da empresa seguindo algumas leis de segurança da informação.

Harkins estava se empenhando ao máximo em agrupar não apenas os funcionários que já estavam levando seus dispositivos para o trabalho, mas também todos aqueles que ainda não estavam fazendo isso. Ele organizou uma sessão de dois dias em 2009 por um período sem interrupção de 48 horas, respondendo e tirando duvidas de milhares de funcionários da empresa. Apenas 30 % dos participantes da sessão concordaram com o acesso corporativo a seus dispositivos pessoais, porem havia uma visão unanime em favor de a Intel gerenciar a segurança de seus dispositivos pessoais onde 100 % estavam dispostos a aceitar treinamento e ajustes necessários em troca pela liberdade de levar seus dispositivos móveis para o ambiente de trabalho.

A Implementação do BYOD na empresa teria com uma das suas premissas a responsabilidade, que seria dividida entre a TI e os funcionários. A TI seria responsável por gerenciar os dispositivos moveis pessoais e os funcionários teriam como responsabilidade entender os riscos que os dispositivos trariam ao serem levados para a empresa.

A iniciativa BYOD traria muitos riscos para empresa, mas também muitos benefícios, tendo em visto que com a implantação dessa iniciativa a Intel não precisaria mais comprar dispositivos, dispositivos esses que muitas vezes eram perdidos ou roubados. Permitir que os funcionários trouxessem seus próprios dispositivos reduziria a perda ou roubo, pelo motivo de se ter um maior cuidado por ser um objeto pessoal.  Porém não era uma questão só de tecnologia, a implantação do BYOD também afetaria diversos setores da empresa, como o jurídico, RH e contabilidade, cuja a ajuda era necessária na criação e definição de politicas, incluindo detalhes de privacidade, licenciamento de software e conformidade.

Foi desenvolvido por Harkins um modelo de cinco camadas para gerenciar o risco de segurança iminente ao BYOD, classificando o nível de acesso aos dados e serviços em cinco categorias, oferecendo assim não apenas segurança, mas também retorno de investimento.  

O valor do BYOD pode ser extraído de três fontes: redução de custo, ganhos de produtividade e vantagem competitiva. A redução de custos seria grande pelo motivo da Intel não precisar mais comprar dispositivos para os funcionários, tendo em vista a perspectiva de que em 2014 mais de 60.000 funcionários trariam seus próprios dispositivos para o trabalho. Haveria ganhos de produtividade pelo motivo de os funcionários gastarem mais tempo resolvendo assuntos da empresa, onde a empresa incentivaria com ganhos adicionais percebidos em funcionários aproveitando todas as oportunidades para levar os negócios da Intel para atender clientes internos e externos, onde se tornaria satisfatório para ambos os lados, tanto empresa como funcionários. A vantagem competitiva seria vista apenas em longo prazo dependendo muito do sucesso do BYOD dentro da empresa.

...